Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Prywatności. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce. X
Aktualności
Aktualności

RODO: przedsiębiorcy w błędnym kole unijnego rejestru
7 II 2018, 12:16:00

Już niedługo przedsiębiorcy będą musieli wykazać, że prowadzą rejestr czynności przetwarzania danych osobowych. Ten całkowicie nowy obowiązek wprowadza unijne rozporządzenie RODO. Ma to być to dokument, który pokaże, w jakich procesach w przedsiębiorstwie są przetwarzane dane osobowe, w jakim celu, kogo dotyczą, czy i w jaki sposób są zabezpieczane. Rejestr trzeba będzie udostępniać na każde wezwanie generalnego inspektora ochrony danych osobowych. Powinien zaś być gotowy na 25 maja tego roku. Szkopuł w tym, że nikt nie potrafi odpowiedzieć przedsiębiorcom na pytanie, jak taki rejestr powinien dokładnie wyglądać, a w szczególności, jakie czynności przetwarzania należy uwzględnić. Nie wiadomo też, jaki ma być poziom szczegółowości tych informacji.

Odpowiedzi na próżno szukać w unijnym rozporządzeniu. Choć wprowadza ono obowiązek, wskazuje, kto powinien go realizować – to nie definiuje pojęcia „czynności przetwarzania”. Organy nadzorcze w UE dotychczas również tego nie wyjaśniły. W urzędzie GIODO uzyskaliśmy informację, że organ czeka na wynik ustaleń w ramach unijnej Grupy Roboczej Art. 29 (której GIODO jest członkiem) – po to, aby ewentualna rekomendacja naszego krajowego nadzorcy była spójna z ustaleniami w innych krajach UE. – GIODO pracuje nad bardziej szczegółowym omówieniem tej kwestii, by informacje na ten temat były jak najbardziej użyteczne dla administratorów danych i ułatwiły im przygotowanie się do prowadzenia rejestru czynności przetwarzania zgodnie z RODO – zapowiada rzeczniczka GIODO. Nieoficjalnie dowiedzieliśmy się, że szczegółowe wytyczne pojawić mogą się dopiero za kilka tygodni. W sytuacji błędnego koła znalazły się zatem setki tysięcy firm. Prowadzenie rejestru będzie obowiązkowe nie tylko dla dużych firm, lecz zawsze wtedy, gdy przetwarzanie danych nie ma charakteru sporadycznego, może powodować naruszenie praw lub wolności osób lub obejmuje szczególne kategorie danych. Za brak rejestru grożą milionowe kary.

NA CZYM POLEGA NOWY OBOWIĄZEK

Obowiązek prowadzenia rejestru czynności przetwarzania danych wynika z przepisów rozporządzenia RODO.

Rejestr ten powinien być gotowy na 25 maja tego roku, tj. na dzień, gdy rozporządzenie zacznie być w pełni stosowane. To nowy wymóg. Dotychczas przedsiębiorcy, którzy przetwarzają dane osobowe, nie byli zobowiązani do prowadzenia takiego rejestru. Był natomiast obowiązek prowadzenia rejestru zbiorów danych. Zobowiązani byli prowadzić go ci administratorzy danych, którzy powołali administratorów bezpieczeństwa danych i zgłosili ich do generalnego inspektora ochrony danych osobowych, a zatem nie wszyscy.

NA KIM SPOCZYWA

Nowy obowiązek dotyczy prawie wszystkich administratorów danych. Teoretycznie zwolnieni z niego są ci przedsiębiorcy, który zatrudniają mniej niż 250 osób. Ale w praktyce niewielu przedsiębiorców skorzysta z tego zwolnienia.

Zgodnie z przepisami RODO przedsiębiorcy zatrudniający mniej niż 250 osób i tak będą zobowiązani prowadzić taki rejestr, jeśli przetwarzanie, którego dokonują:

- może powodować naruszenie praw lub wolności osób, których dane dotyczą,

- nie ma charakteru sporadycznego, lub

- obejmuje szczególne kategorie danych (np. dane o stanie zdrowia, ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przynależność do związków zawodowych), lub

- obejmuje dane dotyczące wyroków skazujących i naruszeń prawa.

Trudno przywołać przykłady przedsiębiorców, którzy przetwarzają dane osobowe tylko sporadycznie.

Sporadycznie, nie bez zwolnienia

Przedsiębiorca prowadzi jednoosobową działalność gospodarczą polegającą na oferowaniu towarów klientom, którzy tylko sporadycznie proszą o wystawienie faktury (zawierającej dane identyfikujące klienta). Ponieważ przedsiębiorca gromadzi dane swoich kontrahentów i reprezentantów kontrahentów i przetwarza je w sposób ciągły, z dużym prawdopodobieństwem i on nie skorzysta z tego wąskiego zwolnienia. ⒸⓅ

ZAKRES DOTYCHCZASOWYCH REJESTRÓW

W dotychczasowych rejestrach zbiorów danych ujmowane były następujące informacje:

nazwa zbioru danych; oznaczenie administratora danych i adres jego siedziby oraz numer REGON; oznaczenie przedstawiciela administratora danych, jeśli został wyznaczony; oznaczenie podmiotów, którym powierzono przetwarzanie danych osobowych i adres ich siedziby; podstawa prawna upoważniająca do prowadzenia zbioru danych; cel przetwarzania danych w zbiorze; opis kategorii osób, których dane są przetwarzane w zbiorze; zakres danych przetwarzanych w zbiorze; sposób zbierania danych do zbioru; sposób udostępnienia danych ze zbioru; oznaczenie odbiorców danych lub kategorii odbiorców danych; informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego.

ZAKRES REJESTRU CZYNNOŚCI PRZETWARZANIA DANYCH

Rejestry czynności przetwarzania danych wymagane przepisami RODO są skonstruowane w odmienny sposób niż dotychczasowe rejestry zbiorów. Nie odzwierciedlają podziału kategorii danych osobowych na zbiory danych, ale na czynności przetwarzania.

Pojęcie czynności przetwarzania nie jest zdefiniowane w przepisach rozporządzenia. W przepisach tych można znaleźć rozróżnienie stosowania pojęć „operacje” przetwarzania danych i „czynności” przetwarzania. Przykładami operacji przetwarzania danych są: zbieranie, utrwalanie, porządkowanie, pobieranie, przeglądanie, udostępnianie czy usuwanie. Jak się wydaje, czynności przetwarzania danych to jedna lub więcej operacji przetwarzania danych łączące się ze względu na cel, którym kieruje się administrator, lub proces, który administrator realizuje, np. rekrutacja pracowników, zarządzanie karierą pracownika. Pewną wskazówkę, jak określić czynność przetwarzania danych, dają przykłady rejestrów czynności przetwarzania stworzone przez belgijskie i brytyjskie organy nadzorcze ochrony danych osobowych. W projekcie rejestru brytyjskiego organu jako kategorie czynności wskazane zostały: obsługa płac pracowników, prowadzenie księgowości, przechowywanie danych w chmurze.
Logowanie
Login:
Hasło: